Bei HTTPS wird das HTTP-Protokoll mit einem SSL- oder TLS-Verschlüsselungssystem verknüpft, wodurch den Besuchern einer Website die Einhaltung der Vorschriften bezüglich der Geheimhaltung sowie die Vertrauenswürdigkeit der Website garantiert werden. Dennoch zieht das Protokoll durch seine rapide Entwicklung zunehmend die Aufmerksamkeit von Cyberkriminellen auf sich.
Laut der Studie „Gartner Predicts 2017“ werden bis 2019 80 % des Datenverkehrs der Unternehmen über das Internet verschlüsselt sein. „Immer mehr Angriffe durch Schadprogramme werden sich auf HTTPS übertragen, um die erste Infektion zu verschleiern“, so das Beratungsunternehmen.
Das bedeutet, dass sich dieses gesicherte Kommunikationsprotokoll „HyperText Transfer Protocol Secure“ (HTTPS) schnell zu einem trojanischen Pferd entwickeln könnte. Paradox für eine Technik, die als gesichert bezeichnet wird. Durch die HTTPS-Technik – dargestellt über ein kleines Vorhängeschloss vor der URL der besuchten Website – wird die Authentifizierung der Webanwendung bescheinigt, Vertraulichkeit und Integrität der übermittelten Daten garantiert und die Identität des Besuchers oder des Kunden bestätigt.
Der Preis des Erfolgs
Dieses Protokoll entwickelt sich hinsichtlich der Sicherung von Datenströmen im Internet zunehmend zum Standard, insbesondere im Bereich des E-Commerce. Beschleunigt wird die Entwicklung, seit Google den Internetseiten, die ihre Referenzierung optimieren wollten, das Protokoll ganz einfach vorgeschrieben hat. So werden beispielsweise bei dem marktführenden Browser Google Chrome seit Januar 2017 die Seiten mit einer HTTP-Verbindung als „nicht sicher“ gekennzeichnet. Laut der Zertifizierungsstelle Let's Encrypt wurde im November 2017 bei 65 % der von Firefox geladenen Internetseiten HTTPS genutzt, gegenüber 45 % Ende 2016.
Doch die HTTPS-Technik scheint auch Opfer ihres Erfolgs zu sein. Denn tatsächlich hat die Zunahme des Datenverkehrs über dieses Protokoll nicht nur Gutes: Auch Cyberkriminelle profitieren von diesem Protokoll und nutzen es, um ihre schädlichen Aktionen zu verschleiern. Ende 2017 wurde ein Viertel der Phishing-Angriffe auf HTTPS-Domains gehostet, gegenüber weniger als 3 % im Jahr 2016. Statistisch zeigt sich die zunehmende Verbreitung der HTTPS-Websites auch durch eine Zunahme von Phishing-Seiten, die darauf abzielen, den Besuchern unbemerkt ihre Zugangsdaten, Passwörter oder Bankkartennummern zu stehlen.
Muss daran erinnert werden, dass durch die Verschlüsselung von Daten bei der Übertragung die Sicherheit der Website an sich gar nicht garantiert wird? Die Phishing-Betrüger machen sich genau dieses Missverständnis in der breiten Öffentlichkeit zunutze. So hosten viele von ihnen ihre Phishing-Aktionen heute auf Domains, die sie selbst vorher registrieren, nachdem sie eine gültige Zertifizierung erhalten haben. Indem sie ihre Phishing-Websites für die potenziellen Opfer auf diese Weise vertrauenswürdiger aussehen lassen, steigern sie die Wirksamkeit ihrer kriminellen Aktionen erheblich.
Wenn HTTPS nicht ausreicht, wie kann man sich dann effizient schützen?
Die Falschheit der Cyberkriminellen gibt Anlass dazu, HTTPS noch stärker zu sichern als zuvor. Lösungen gibt es – angefangen bei neuen Versionen von UTM-Boxen, Firewalls der neuen Generation (NGFW) und anderen Sicherheitsproxys, durch die eine Ent- und Neuverschlüsselung des HTTPS-Protokolls durchgeführt wird, ohne die Vertraulichkeit der Daten der Benutzer zu gefährden.
„Man kann mit Analysen ohne Entschlüsselung vorliebnehmen oder auf das IP-Reputation-Verfahren [Liste mit verdächtigen Adressen] zurückgreifen, insbesondere für den Großteil des Datenverkehrs in Bezug auf bekannte und gesicherte Websites, die Wirksamkeit bleibt dabei jedoch begrenzt“, gibt Boris Maréchal, Network Security Product Leader bei Stormshield, zu bedenken. „Für risikobehaftete Websites ist es besser, Analysen mit Entschlüsselung durchzuführen, wodurch eine bessere Erkennung von Angriffen gewährleistet wird.“
Dieses Verfahren, das eine erhebliche Menge an Verarbeitungsressourcen in Anspruch nimmt, bedingt jedoch, dass die Box die Daten entschlüsselt, um sie zu kontrollieren, bevor sie wieder neu verschlüsselt werden. Der Datenverkehr kann daher langsamer werden, vor allem wenn mehrere Sicherheitsschichten eingerichtet wurden (IPS, Antiviren-Software, C&C-Erkennung usw.). Auch hier können Lösungen der neuesten Generation helfen. Vorzug sollte hier also den neuen UTM-Boxen und Firewalls der neuesten Generation gegeben werden, deren Sicherheitsschichten über ein Gerät zusammenwirken, wobei nur eine Entschlüsselung erforderlich ist. Natürlich ist schließlich noch ihre geeignete Dimensionierung sicherzustellen, damit die entstehende Belastung getragen werden kann.
Der Schutz der Arbeitsplätze – eine unerlässliche Maßnahme
Solche Maßnahmen werden jedoch nicht genügen, wenn nicht auch die Endpunkte des Netzwerks geschützt wurden, beginnend bei den Arbeitsplätzen, die, wenn sie einmal beschädigt wurden, zu einer wahren Waffe gegen den Administrator werden können. „Ergänzend zur Netzwerkanalyse ist es sinnvoll, bei den Arbeitsplätzen, die Daten empfangen und senden, Endpoint-Lösungen einzusetzen. Im Gegensatz zu Antivirenprogrammen, die nur bekannte Bedrohungen erkennen können, nutzen unsere Endpoint-Lösungen ein verhaltensbezogenes Konzept, um Zero-Day-Bedrohungen zu blockieren“, so Adrien Brochot, Endpoint Security Product Leader bei Stormshield.
